  |
はてなキーワード: ワンタイムパスワードとは
https://netkeizai.com/articles/detail/7922
経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。
「クレジットカード番号等の適切管理義務の水準を引き上げるべく、サイト自体の脆弱性対策を必須化(システム上の設定不備改善、脆弱性診断、ウイルス対策等)」「不正利用防止措置として、利用者本人しか知り得ない・持ち得ない情報(ワンタイムパスワード・生体認証)による利用者の適切な確認(本人認証)の仕組みを順次導入(~2024年度末)」
各EC加盟店が、脆弱性対策と本人認証の仕組みを導入したかどうかについては、カード会社や決済代行会社が管理・監督するとしている。
今だって契約解除はできるけどカード会社側が被害は許容できるとして割り切ってんじゃん
被害が許容できなかったのは誰かという話になると
検証用に作ってあったTwitterアカウントを削除したのだが
・セキュリティトークン(YubiKey)の二段階認証
・アプリの時間式ワンタイムパスワードの二段階認証
を、設定してあった。
さて、このアカウントを削除すると
ってメールが来る。
まさかなぁ・・・と思ってIDとパスワードでログインしたら「アカウント削除処理したけど復活させるか?」って出てくるのよ
で、アカウント復活させるとDMとかツイートとか全部見えるの。
勿論「二段階認証は解除されてる」
いや、Twitterくんお前マジでなんでこういう実装した!?
=========================
分かってくれてる人もいるけど、一応補足しておくと二段階認証を設定されているアカウントで、削除の操作を行った時点で二段階認証の設定が削除。
そのため、IDとパスワードでログインすれば乗っ取れるし二段階認証をかけて奪える。
ただ、この操作をやると「Twitterアカウントを復活しました」のメールは来るので乗っ取られたら気付くことは可能ではある
=========================
どうすりゃいいのかかけよ!っていうけどTwitterくんが二段階認証情報を削除するのを
アカウント削除と同じ30日後にすりゃいいだけでしょ
当たり前だけど他のサービスのメールは押した瞬間に購読解除になるよ
送金とかそういうクリティカルじゃない機能にこれやるんだったらもう使いたくない
今は会社の給料振込先にしているけど、会社辞めたら口座解約する。絶対に解約する。絶対絶対解約する。俺はブチ切れたからな
特に何度も何度も同じ数列をスマホのちぃせぇ画面で操作繰り返させられたの最悪
コロナのせいでどこにも行けないせいで時間もお金も余ってるのでゲームに使いたい。でもできない。
同じゲームの話題で友だちと盛り上がったり、ガチャで好きなキャラのためにお金を溶かしたりしたい。
VTuberの実況動画を見ながらコメントを打ったり騒いだりしたい。
でもできない。
まず起動まで辿り着けない。面白そうなやつを見つけてもダウンロードに10分と言われるとそこで萎えてしまう。
SwitchとPS4を買ったが、たまにしか使わないせいでいつもシステムアップデート画面を見せられてる気分になる。
ゲーミングPCも買ったが、普段はノートPCを使ってるせいで、PCの前に移動して、Windowsを起動して、WindowsUpdateをして、Steamにログインしようとしてワンタイムパスワードを入れて…というあたりで飽きる。
しばらくして再開しようとするとゲーム自体のアップデートが必要になり、また待たされる。
次にチュートリアルを抜けられない。
いざやろうとすると世界観を説明するムービーが始まって、退屈でスマフォをいじってるとそっちに夢中になってしまう。
それを抜けてもゲームシステムの説明を読まないといけないのがだるい。全然爽快感がない。
あと楽しくなるまでの練習ができない。
なぜ素材集めのために同じ場所をぐるぐるまわらないと行けないのか。
アイドルがキラキラ踊るとこが見たいだけのモチベーションで音ゲーの練習ができない。
ガチャを回すたびに同じ演出を見てはタップする必要があると思うとゾッとする。
そうこうしてるうちにDLCが出たり新規イベントが始まったりして、みんなに追いつくまでの距離が果てしないように思えて挫折してしまう。
ペイジー決済をユーザの立場で理解していますでしょうか? ペイジー決済を行うには、大抵の場合、オンラインバンキングで、2要素認証を行います。ユーザパスワードとは別に、ワンタイムパスワードなどが必要になります。最近はスマホでワンタイムパスワード発行することも可能になりましたが、銀行から提供される専用の機器を使う人も、従来からのユーザだと一定数います。そのような機器は普段は、セキュリティ上の理由からも、携帯することはできません。自宅に保管していることが多いです。 これが意味することがお判りでしょうか? ペイジーが休日に停止して支払いができないと、平日に、職場なり、フリーランスだと、現場に出向いていることも多く、仕事に追われる人が多いと思います。そんな多忙な人が、現場なり職場で、ワンタイムパスワード発行機を持ち出して、税金を払うでしょうか?そんな手間がいるならば、銀行に並ぶなり、コンビニで払うでしょう。わかりますか?ペイジーが休日停止であることが、システムとして、いかにダサいか?ダメな仕様であるか?ペイジーの最も輝かしい機能性を台無しにしていることを。
コンビニで払えばいいとお思いでしょうか?10万も20万もコンビニのレジで払うことを想像してください。いまや、キャッシュレスの時代です。10万以上の大金を庶民は持ち歩きません。コンビニのアルバイトもびっくりです。コンビニの経営者は、コンビニ強盗も心配ですね。だって、レジでお札を数える必要がありますもん。コンビニはいろんな人が出入りしていますよ。
お役所都合のシステム仕様が、いかに世の中に迷惑か。無駄なシステムに、税金を投入しても、あなた達はなんとも感じないでしょう。また、分捕ればいいですもんね。 ああ、日本死ね。お前ら、適当な仕事してんじゃねえよ。
https://internet.watch.impress.co.jp/docs/yajiuma/1358671.html
2段階認証のワンタイムパスワードはアプリで発行されるのではなく、毎回メールで送信される
Yahooもそうじゃなかったっけ
某大企業に勤めてるよ!
みんな絶対に知ってる日本でトップクラスっていうかある意味トップの企業だよ!
もちろんDXをゴリゴリに推進しているし「DX」と名の入った部署まで作って本気だよ!
社内システムはもちろんDaaS(Desktop As A Service)を使ってるよ!
要するにリモートデスクトップだよ!
社内全員がDaaSを利用するんだけど負荷を抑えるためにWindowsのインデックスサーチはOFFにされてるよ!
なのでファイル検索はめちゃくちゃ遅いしOutlookのメール検索も死ぬほど遅いよ!
おまけに一人あたり20GBの容量しか使えないよ!でも基本的にメールのやりとりだからメールだけで使い切るよ!
え?使い切ったらどうするかって?もちろん、古いメールは削除だよ!
なんで20GBしか使えないのか聞いたら、「平均して20GBしか使ってない」んだって!
ってことは平均以上の半分の人は見捨てられたんだね!
スマホに入ってるmicroSDですら128GB使えるけどね!
ちなみに不正防止の観点でメール等の証跡は全部別のサーバに蓄積されているよ!社員からは見えないけどね!
あと、インデックスサーチOFFにされてるけど、結局はセレロン並の遅さだよ!
だからUSBで持ち出しても外では開けないよ!セキュアだね!DaaSだからUSB刺さらないけどね!
ちなみに暗号化の解除は社員なら了承無しで誰でもできるよ!不便だもんね!
本当に危ないファイルはzipでパスワードを独自に付ける人が多いよ!
でもほとんどの人が4桁数字しか使わないしzipにパスワード付けてるだけだから
DaaSにつなぐためにVPNを張るよ!ワンタイムパスワードで保護してるからセキュリティもバッチリ!
ちなみにこのVPNはDaaSのサーバにしか繋げないVPNだよ!
DaaSにはTLSでアクセスするんだけど、念の為VPNで更にセキュアにしてるよ!
そのせいでVPN繋ぐとトラフィックがそっちに吸い取られてインターネット通信できないよ!
キーロガー仕込まれてたとしても安心かもね!後で送信されたら一緒だけどね!
ちなみにコロナのときはVPNへのアクセス集中でみんな仕事できなくなったよ!DaaSは余裕があったけどね!
社内システムのWeb会議システムがあるからリモートでも会議可能だよ!
DaaS上でしか使えないからラグとエコーがひどくて結局現地で開催されている会議を聞くだけのツールになってるけどね!
なぜかZOOMは初期の頃に猛烈な反対にあって使用不可になったけどね!
DaaS上でしか使えないから映像はほとんど無理だし音声もエコーだらけだけどね!
だからみんな自分の携帯でログインして画面共有のために二重ログインしてるよ!
メールに添付ファイル付けるともちろんPPAP(パスワードZIP送付、パスワード送付、暗号化、プロトコル)してるよ!
exe送れないこと多いからex_にしてから送って、受け取り側でexeにして実行してもらうよ!
4,5年前はこの状態だったけど、これは流石に修正されたのかな?実際に送られたファイルを知らないからわかんないね!
定期的に訓練が実施されているよ!
「訓練が実施されるのでうっかり開いた人は報告してね」
っていうメールが事前に来るよ!親切だね!
訓練メールはだいたいWordのdocファイルが付いていて開封したらHTTPリクエストが飛ぶ仕掛けで開封したかどうかが分かるよ!
ちなみに受け取っただけなら報告はいらないらしいよ!
この時期に本当の標的型メールが来てたらどうするんですか?っていう質問の回答は未だに返ってこないね!
社員への周知がある場合は、周知ページへのリンクがメールされてくるよ!
たとえどんなに些細な周知(社長が挨拶に来ます、とか)でもリンクがメールされるよ!
リンクを踏むとIE9が開いて貧相なページが表示されるんだけど、そこにもまだ内容はないよ!
貧相なページの下に更にリンクがあって、Wordファイルがダウンロードされるよ!
Wordファイルをダウンロードして激重のDaaSで開封すると
だけ書いてあるよ!
勤務表に投入するだけじゃなくて、どういう作業をしたかの稼働までちゃんと入れるよ!
毎日15分単位で始業開始時刻と終業時刻と休憩時間を入れるよ!
ちなみに2つのシステムで業務時間に誤差があると物凄く怒られるよ!
最近知ったけど日々の業務時刻はどうでもよくて合計しか見てないらしいけどね!
信じられないぐらいチェックシートをたくさん用意して不正防止に努めてるよ!
鉛筆一本買うだけでもとんでもないチェックをしないといけないよ!
チェックが多すぎて誰もチェックしないっていうのが常態化してるよ!
あ、ダブルチェックトリプルチェックは当たり前なので、責任希薄になってやっぱり誰もチェックしないよ!
ちなみに事件は頻繁に起きてるよ!だって、肝心のシステム側がザルだからね!
チェックシートは前は紙にサインだったけどペーパーレス化が進んだからPDF保存になったよ!
おまけにファイルは暗号化されちゃうので検索で引っかからないよ!
ファイル名で検索するしかないから、ファイル名を間違えてると内容が合ってても後ですごく困るよ!
あと会計に少しでも関わるものは絶対にペーパーレスにならないよ!
領収書は原本いらなくなったって何回言っても原本保管から変わってくれないよ!
飛行機の領収書とかPDFをダウンロードしてきて印刷して保管してるよ!
肝心の半券は不要だからやろうと思えばPDFダウンロードした後にキャンセルできるけどね!
業務で使うサーバにログインするときは共通アカウント・共通パスワードが常識だよ!
だいたいのパスワードはアカウント名+1234みたいな感じだよ!
この前、公開鍵設置して秘密鍵でログインしようとしたらなぜか弾かれてて、よく見たらわざわざOFFにしてあったよ!
公開鍵認証の話をしたら「は?なにそれ?」みたいな顔をされたよ!
あ、もちろんパスワードの定期変更は推奨されてるよ!
なんと今流行りのチャットコミュニケーションツールが導入されたよ!
社内のDaaSからはアクセスできるけど、社外からはアクセスできないほどセキュアだよ!
でもでも、スマホアプリなら社外からでもアクセスできるよ!よくバグで落ちてるけどね!
今のようなことを情シスに言っても何も変わらないよ!だって、ほとんど素人だからね!
3年で人事異動でメンバーが入れ替わるから、それまで問題を起こさないために何もしないよ!
こんな感じでDXを進めてるよ!
もちろん客先では「うちは最先端のDXやってます」って言ってるよ!
胸が痛いね!
フェイクをちょっと混ぜといてよかったよ!本当は「社長が挨拶に来る」じゃなくて副社長だよ!
割と酔った勢いで書いたから今読み返したら意味わからんだろう内容があるのはごめんよ!
教えられるわけないよ!
ごめんね!そうだね!ガチDX施策のクソさも書きたいけどさすがに身バレするね!
本当に書きたかったのは社内システムこんなクソなのにもっとDXしよう!って言ってるシュールさと
社外的に「DXしましょう!うちはプロですから!」って言ってるとこだよ!
もはや全部変えると予算がつかないからこんなことになってるよ!
でもたぶん全部MS社にしてOffice 365とOneDriveにしたら問題の8割は解決しそうだよ!
この辺のシステム請けてるのがそもそもグループ会社ってのが日本の一般的な大企業だよ!
そこで働いてる人はおじいちゃんばっかりで若者はみんな派遣だよ!
この辺のシステムが最適化されると派遣が切られちゃうから下請けはたぶん喜んでるよ!
みんなの会社はこんなにひどくないと信じてるけど
